Der Europäische Gerichtshof (EuGH) hat sich mit der Frage befasst, ob bereits ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) einen Schadensersatzanspruch begründet. Dabei kommt es auf den Schaden an, stellte der EuGH in seiner Urteilsbegründung vom 04.05.2023 (Az. C-300/21) klar.
Die Beklagte des Ausgangsverfahrens war die Österreichische Post AG, die als Adressenverlag Informationen zu Parteiaffinitäten der Bevölkerung Österreichs erhob und mithilfe eines Algorithmus anhand soziodemografischer Merkmale Zielgruppenadressen definierte, ohne dass seitens der betroffenen Personen eingewilligt wurde. Der Kläger des Ausgangsverfahren erhob deswegen Klage gegen die Post und verlangte 1.000 Euro immateriellen Schadensersatz, weil das Vorgehen der Post ihm ein großes Ärgernis sei und er einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürte, da ihm eine besondere Affinität zu einer umstrittenen Partei zugeschrieben worden war.
Der EuGH stellte klar, nicht jeder Verstoß gegen die DSGVO begründe einen Schadensersatzanspruch. Vielmehr sei es notwendig, dass neben einem DSGVO-Verstoß auch tatsächlich ein materieller oder immaterieller Schaden entstanden ist und vor Gericht nachgewiesen werden kann. Dieser Schaden müsse zudem kausal auf der Verletzung der DSGVO beruhen.
Zudem wies der EuGH darauf hin, dass ein immaterieller Schadensersatzanspruch keiner Erheblichkeitsschwelle unterliegt. Folglich läge es bei den Gerichten, in jedem Einzelfall zu entscheiden, wie hoch der Ersatz für den erlittenen Schaden ausfalle.
NACHWEISPFLICHT ÜBER KAUSALEN SCHADEN
Aus dem EuGH-Urteil folgt, dass Betroffene bei der Geltendmachung von DSGVO-Schadensersatzansprüchen nicht mehr ohne konkrete Darlegung eines Schadens Klage erheben können, vielmehr einen kausalen Schaden nachweisen müssen. Das Landgericht München I ging mit seinem Urteil vom 30.03.2023 (Az. 4 O 13063/22) sogar noch einem Schritt weiter, indem es festhielt, dass es einer persönlichen Betroffenheit des Anspruchstellers bedarf und es rechtsmissbräuchlich ist, einen Datenschutzverstoß zu provozieren. Hintergrund war eine „Google-Font-Abmahnung“, ausgelöst durch ein automatisiertes Programm (Crawler), um Websites aufzufinden, die Google-Fonts dynamisch einbinden. Eine solche Abmahnwelle hielt Praxen und andere Unternehmen Ende vorigen Jahres in Atem.
GEFÄHRDUNG NICHT AUSREICHEND
Auch das Landgericht Memmingen hat am 09.03.2023 geurteilt (Az. 35 O 1036/22), dass für einen Schadensersatz- oder Schmerzensgeldanspruch aufgrund einer Datenschutzverletzung eine Gefährdung nicht ausreiche. Es genüge auch nicht, wenn der Betroffene einen Kontrollverlust über seine Daten fürchte und deshalb großes Unwohlsein sowie Sorgen wegen potenziellen Datenmissbrauchs verspüre. Hintergrund war ein Facebook-Scraping – öffentlich zugängliche Daten werden dabei auf der Plattform durch Dritte unbefugt abgegriffen.
Auch wenn nunmehr vom höchsten europäischen Gericht geklärt ist, dass es für einen DSGVO-Schadensersatz eines wirklichen Schadens bedarf, so bedeutet dies nicht, dass dieses Urteil ein Freibrief ist, es mit dem Datenschutz nicht mehr so genau zu nehmen. Schließlich können Behörden nach wie vor bei Datenschutzverstößen Sanktionen verhängen, etwa Bußgelder. Diesbezüglich hält die DSGVO einen weiten Rahmen bereit, der je nach Schwere und Auswirkung eines Datenschutzverstoßes ausgeschöpft werden kann.